Wat is er toch aan de hand met ransomware?

De malware maakte een onverwachte evolutie door het afgelopen jaar.

Vorig jaar rond deze tijd schreven we over de verwachtte komst van ransomwormen en dat tijdperk is helaas aangebroken. Maar de SMB-wormen geven ook een heel nieuwe evolutie weer: ransomware verandert van malware om geld aan te verdienen naar malware voor andere doeleinden.Ransomware is een blijvertje, zoals we hier twee jaar geleden uitgebreid beschreven, om een heel simpele reden: het werkt. Bedrijven zijn bereid te betalen omdat recovery te veel tijd in beslag neemt, of omdat grondige back-ups ontbreken en daarom groeit de economie alleen maar door, zo becijferde Carbon Black onlangs.

Betalen is zinloos

Maar al die argumenten blijken louter theorie wanneer bedrijven geconfronteerd worden met versleutelde systemen en snel weer aan de slag moeten om niet de miljoenen te verliezen die havenbedrijf Maersk bijvoorbeeld eerder dit jaar misliep tijdens de NotPetya-ellende.

Het is eigenlijk een vraag-aanbod-kwestie: zolang de vraag naar sleutels niet verdwijnt, zal het aanbod van ransomware niet afnemen. Wat dat betreft is de komst van pseudo-ransomware niet eens zo’n slechte zaak: het leert ons dat betalen geen zin heeft.

In dit artikel gaan we verder in op pseudo-ransomware (gijzelsoftware die juist niet als doel heeft om eraan te verdienen, wat we ook wel eens nep-ransomware noemen), de technologische evolutie die ransomware momenteel doormaakt en de trends die we tegemoet kunnen zien volgend jaar.

Afname ransomware?

Vorig jaar voorspelde McAfee dat de groei van ransomware dit jaar zou pieken en daarna afnemen. De redenen daarvoor, zoals je uitgebreid terug kunt lezen in dit artikel, waren onder meer zetten van de sector, private bedrijven én overheden, om de terreur van gijzelsoftware harder aan te pakken. Arrestaties onder malware-auteurs en het bemachtigen van servers met sleutels begonnen zoden aan de dijk te zetten om consumenten en bedrijven bij te staan als ze getroffen werden.

Ransomware was dit jaar nog meer in het nieuws dan eerdere jaren. De grote twee namen waren WannaCrypt en NotPetya die grote bedrijven en zorginstellingen in Europa grote problemen opleverden. Dat waren high-profile zaken: WannaCrypt trof Britse ziekenhuizen en NotPetya onder meer Maersk in Rotterdam, dus de aandacht was zeker groter.

Maar meer melding van ransomware in opvallende zaken, betekent niet een daadwerkelijke toename. “Sterker nog, sinds de zomer zagen we een afname van het aantal ransomware-families”, vertelt McAfee-onderzoeker Christiaan Beek, die vorig jaar deze voorspelling deed. Dat neemt niet weg dat de ransomware-economie helaas nog steeds groeit, zoals Carbon Black twee maanden geleden nog concludeerde.

Groei pseudo-ransomware

Voor het komende jaar verwacht McAfee meer voorbeelden te zullen zien van pseudo-ransomware. Dat is de term van het beveiligingsbedrijf voor ransomware die lijkt op ‘klassieke’ gijzelsoftware om geld te verdienen, maar eigenlijk een ander doel heeft, bijvoorbeeld om schade aan te richten of om af te leiden van andere malafide acties. Zoiets als een Dark DDoS dus, maar dan met ransomware. Dark ransomware, zo je wilt.

Ransomware bestaat natuurlijk al heel lang, sinds je jaren 80 zelfs, maar pas de laatste jaren zien we de malware fors groeien. “Dat heeft ook te maken met de groei van cryptovaluta”, vertelt CEO Chris Young van McAfee tijdens een toespraak op beveiligingsconferentie MPOWER.

In het verleden moesten slachtoffers betalen via schimmige betaaldiensten – er is immers geen iDeal voor malware. Met het mainstreamen van cryptovaluta is het geld niet alleen anoniem te verwerken, maar kunnen ‘klanten’ ook makkelijker betaalmiddelen aanschaffen om van de ransomware af te komen.

Betaling secundair

Dat betekende ook dat het doel van de ransomware toen nog vrij duidelijk was: geld verdienen. Maar de vraag die opstak bij WannaCrypt was of dat nou wel het idee erachter was. De ransomware leek slecht ontworpen: er was geen uniek adres gekoppeld aan slachtoffers, zodat er bij betaling van een ‘klant’ aan een centraal bitcoinadres niet duidelijk was wie er nou had betaald. Je kon dus sowieso naar de sleutel fluiten.

Maar was het een ontwerpfout, of was betaling secundair voor de makers? Het verhaal ging dat de makers van WannaCrypt prutsers waren, maar dat blijkt eigenlijk nergens uit. Sterker nog, het lijkt erop dat de malware-auteurs goed op de hoogte waren van technieken: ze benutten het door Microsoft gepatchte SMB-gat zeer snel nadat de NSA-tool die daar gebruik van maakte verscheen.

Dark ransomware

Dat roept interessante vragen op. Want wat was het doel van WannaCrypt? Geld verdienen lijkt niet de primaire taak te zijn. Verstoring dan? Maar zo groot was de schade nou ook weer niet. Was het een test van infrastructuur? NotPetya dook kort na WannaCrypt op hetzelfde gat en toen bleek – zoals iedereen eigenlijk allang weet – dat bedrijven fors achterliepen met patchen.

Of was het net als met een Dark DDoS een afleidingsmanoeuvre en werd er terwijl we links keken rechts een geniepigere actie uitgevoerd?

Met NotPetya zagen we nóg een voorbeeld die de malware laat lijken op iets wat niet primair is bedoeld om geld mee te verdienen. Voorloper Petya forceert een reboot en NotPetya doet precies hetzelfde. Daarbij worden slachtoffers geconfronteerd met schijfcontrole, terwijl op de achtergrond de schijf wordt versleuteld. Op dat moment kun je versleuteling nog voorkomen door de geïnfecteerde pc direct uit te schakelen en te booten vanaf een LiveCD.

Snelheid teken van doel?

“NotPetya was ontworpen voor snelheid”, haalt Beek aan. De ransomware had ten opzichte van WannaCrypt meer tools aan boord om zo snel mogelijk te verspreiden op netwerken. Zo zoekt de malware op geïnfecteerde systemen naar wachtwoorden die in het werkgeheugen geparkeerd staan om zich sneller te verspreiden naar andere stations met behulp van die credentials.

Dat zou effectieve ransomware natuurlijk idealiter ook willen doen, maar een neveneffect hiervan is dat IT bij NotPetya-infecties laterale beweging en verdere verspreiding een halt moeten toeroepen door grote delen van het netwerk offline te halen tijdens het opschonen. Met dat in het achterhoofd zou je snelheid van infecties als een extra teken kunnen bestempelen dat er misschien geen financieel motief achter de malware zit.

Op de laatste pagina: de voorspelling dat de ransomworm problemen zou opleveren in 2017 kwam helaas pijnlijk uit.

De trend naar ransomwormen zag Cisco’s Talos vorig jaar aankomen, gebaseerd op het idee dat de ransomware in het voetspoor zou treden van andere effectieve malafide software. Talos vond dat een logische evolutie, gezien een tweetal opvallende trends: ransomware werd gerichter verspreid en afgevuurd op specifieke organisaties, en de malware werd gebouwd voor specifieke kwetsbaarheden in back-end software in plaats van dat er modulair een Java-, Flash- of andere exploit du jour werd aangehangen.

Back-end ransomware

Dat werd duidelijk met Samas/A of SamSam, een malware-aanval die onder de radar bleef in de mainstream, maar beveiligingsexperts zorgen baarde omdat het zo’n succesvolle, nieuwe aanpak was.

SamSam kwam binnen via een gat in JBoss – wat gepatcht was, maar onderzoekers merkten al eerder op dat gaten in organisaties maar liefst 3,5 jaar ongepatcht blijven – en richtte zich daarmee op specifieke netwerken. Daarnaast werd het effectief afgevuurd op een specifiek ziekenhuis in plaats van dat er breed geschoten werd naar een heleboel organisaties, zoals veel malware in eerdere gevallen.

Een logische vervolgstap was daarom malware die zich nog beter zou richten op effectieve verspreiding binnen interne netwerken en een worm was dan ook een niet meer dan logische toevoeging. We schreven daar vorig jaar uitgebreid over. In plaats van dat je systemen afzonderlijk bereikt, doet de software zelf het zware werk en zoekt het andere netwerkbronnen om te besmetten.

Dit is precies wat er gebeurde met WannaCrypt en NotPetya: ze gebruikten een kwetsbaarheid in Windows’ netwerkprotocol SMBv1 om zich te verspreiden binnen netwerken. De derde ransomworm van het jaar, BadRabbit, was al meteen een stuk minder effectief. “We waren zeker beter voorbereid”, zegt McAfee’s Beek. De ransomworm was daarnaast minder effectief omdat er geen exploit was ingebouwd. In plaats van een SMB-worm, had deze een simpelere LTNM-scanner om netwerkbronnen te indexeren.

Zwanenzang Hidden Tear

Ter afsluiting vandaag nog even iets dat helemaal naar de achtergrond is verdwenen: Hidden Tear-ransomware. Dat leek nog even een probleem te worden, omdat het opensourcen van de code deed denken aan het uitkomen van Zeus, waarna allerlei varianten volgden als Gameover Zeus.

Dat was ook het geval met op Hidden Tear-gebaseerde ransomware, maar dat bleken veelal hobbyprojecten van scriptkiddies met implementatiefouten, slechte ontwerpen en een gebrek aan obfuscatie, waardoor het nooit een serieus probleem werd voor zelfs relatief simpele beveiligingsoplossingen als endpoint-bescherming.

“Er zijn nog steeds mensen die bovenop Hidden Tear bouwen of ermee spelen om vlug een beetje geld te verdienen”, zegt Beek. “Maar elke keer als een nieuwe variant opduikt, wordt de malware al meteen opgemerkt door bijna alle virusscanners. We kennen het al, dus voor de mensen die er iets mee proberen is het nutteloos.”


Comments are closed.